通过全局变量和自擦除代码来防Dump(2)

最新推荐文章于 2025-04-22 01:37:21 发布
最新推荐文章于 2025-04-22 01:37:21 发布
阅读量163 收藏
点赞数
本文介绍了使用memcpy实现代码段自擦除的方法,以增强软件的反Dump保护。通过修改内存权限并覆盖代码段,使得Dump工具无法简单地获取原始代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

通过全局变量和自擦除代码来防Dump(2)

write by 九天雁翎(JTianLing) -- blog.youkuaiyun.com/vagrxie

讨论新闻组及文件

通过全局变量和自擦除代码来防Dump 》中我提到了用WriteProcessMemory来完成代码段的自擦除,其实这并不是什么好的手段,因为使用了Win32 API,对于分析你代码的人来说,这是明摆着告诉对方你要干什么,破解手段在原文中也提到了不少。其实,当时我去搜寻WriteMemroy API但是并不存在的时候,我就在想,为什么微软不提供,并且,同样的,有ReadProcessMemory但是有ReadMemory,为什么要使用的时候都需要通过GetCurrentProcess()作为第一参数这样奇怪的形式,这个MS一贯的作风不符。这两个函数只在WinCE中有提供,普通Windows并没有,其实后来仔细想想就想通了,因为读写另外的进程的内存你必须要通过额外API,所以有这样的API给你来使用,但是读写自己的内存根本就不需要别的特殊的API,自己进程访问和改写自己进程中的数据是没有限制的。因此,需要做自擦除的操作仅仅需要memcpy或者memset就可以了!

下面是改进的示例:

1 #include "windows.h"
2 #include "tchar.h"
3
4 void Run()
5 {
6 // begin of the func
7 DWORD ldwBegin = 0;
8 __asm
9 {
10 call $+5
11 pop eax
12 mov ldwBegin, eax
13 }
14 DWORD ldwOldPro = 0;
15 // Must have this step
16 if(!VirtualProtect((void*)ldwBegin, 1000, PAGE_EXECUTE_READWRITE, &ldwOldPro))
17 {
18 printf( "VirtualProtectEx failed (%d)./n", GetLastError() );
19 return;
20 }
21
22 MessageBox(NULL, _T("Right"), _T("Hello World"), MB_OK);
23
24 // begin of the func
25 DWORD ldwEnd = 0;
26 __asm
27 {
28 call $+5
29 pop eax
30 mov ldwEnd, eax
31 }
32
33 DWORD ldwFuncLen = ldwEnd - ldwBegin;
34 BYTE *lpbyRand = new BYTE[ldwFuncLen];
35
36 DWORD ldwWritten = 0;
37 memcpy((void*)ldwBegin, lpbyRand, ldwFuncLen);
38
39 delete[] lpbyRand;
40 }
41
42 int main(int argc, char* argv[])
43 {
44 Run();
45 MessageBox(NULL, _T("OK"), _T("OK"), MB_OK);
46
47 return 0;
48 }
49
50

这样做后,就没有办法简单的将memcpy挂上使其无效化来使得擦除无效,而且,从发现你的目的的难度上来讲也更加大一些,毕竟memcpy这种函数使用的频率太高了,你可能因为各种原因使用它,而不仅仅是反Dump的目的。这也加大了分析的难度:)

write by 九天雁翎(JTianLing) -- blog.youkuaiyun.com/vagrxie

iteye_13556
关注
硬的不行来软的,我还破解不了你?看老哥如何Dump 你的 BootRom。
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
06-30 355
蛮多朋友说这要是采用多层堆叠,你还能这么原始的操作?自然不行,而且这也是一篇考古的文章。但是!!!今天带来的这篇,老哥从软件采用了非侵入式的方式,实现了破解。从EL2 层层逆向最终获取到BL31的特权,再利用漏洞,最后Dum出了AMLogic A113X SoC的BootRom。之前在写安全相关的文章的时候,就曾大家交流过,EL31作为高级特权,一旦被破解接管,会带来很大的安全风险。话不多说,开始享用吧!
BAT 大厂Java 面试题集锦之核心篇附参考答案
热门推荐
AI天才研究院
11-05 1万+
核心篇数据结构与算法网路:TCP/IP,HTTP操作系统, 文件, shell, CPU, IO, epoll, 非阻塞IO,进程/线程/协程,锁HashMap, Co...
止易脱壳机 dump_e0.3b2 自动 脱易语言的程序~!
01-15
dump_e0.3b2 自动 脱易语言的程序~!
通过全局变量擦除代码Dump
webcenterol
02-08 415
通过全局变量擦除代码Dump write by 九天雁翎(JTianLing) -- blog.youkuaiyun.com/vagrxie 讨论新闻组及文件 一般而言,你的程序一旦运行起来就没有办法Dump了,因为所有的数据都在内存中了,而且,为了更好的Dump完整程序,程序将要启动,还未启动时的Dump,任你程序中有多少Dump的方法都没有用。这里只能结合两种方式来实现反Dump,其...
内存dump
XXOOYC的专栏
11-07 1312
挂起进程: kill -19 $pid 恢复执行: kill -18 $pid
自我映射代码:一种反调试dump策略
gitblog_00097的博客
05-21 451
自我映射代码:一种反调试dump策略 项目介绍 Self-Remapping Code 是一个创新的程序,它通过将自身的映像重新映射到内存中,以止其页面保护通过 NtProtectVirtualMemory 函数进行修改。这个项目的主要动机是提供一种安全机制,用于对抗动态调试恶意的二进制数据提取。 项目技术分析 该项目的技术实现涉及到以下几个关键步骤: 复制图像:将程序映像拷贝到可执行的...
android内存dump分析,[原创]梆梆加固之内存dump分析
weixin_39693971的博客
05-26 790
 声明(打字好累)本文仅限于技术讨论,不得用于非法途径,后果自负。 参考资料https://bbs.pediy.com/thread-206293.htmhttps://github.com/parkerpeng/DroidAntihttp://blog.youkuaiyun.com/cool_way/article/details/22827433http://blog.youkuaiyun.com/m...
Uboot代码结构详细分析
Leon的博客
07-06 6409
1. Bootloader功能分析 Bootloader(如Uboot、Redboot、Blob、vivi等)直接CPU、外围硬件设备(存储器、网卡、LCD等)打交道,负责初始化硬件设备,以及负责拉起内核:建立内存空间映射图,为内核的启动运行做好一切准备,最后将Linux内核代码加载到RAM中运行。 一般来说,bootload都会提供两种操作模式: 正常启动模式:无需开发者用户干涉,上电后自动开始运行,完成启动内核的任务; 下载模式(开发者模式):需要用户干预,进入下载模式,使用uboot命令
鸿蒙系统代码混淆:保护你的应用不被反编译
最新发布
操作系统内核探秘的博客
04-22 873
随着鸿蒙生态的快速发展,越来越多企业开发者将核心应用迁移至鸿蒙平台。然而,开放的应用分发渠道使得逆向工程威胁加剧:恶意用户通过反编译工具获取应用逻辑、窃取商业算法、篡改代码注入恶意功能。本文聚焦鸿蒙系统特有的代码保护需求,提供从基础原理到工程落地的完整解决方案,帮助开发者掌握代码混淆这一核心安全技术。核心概念:解析代码混淆本质,对比鸿蒙与Android/iOS的技术差异技术体系:分静态混淆、动态混淆、资源混淆三大模块详解实现原理。
[转]JFFS2代码情景分析Beta2
打印/传真嵌入式开发--张志龙的专栏
04-13 1万+
<br />声明<br />你可以自由地随意修改本文档的任何文字内容及图表,但是如果你在自己的文档中以任何形式直接引用了本文档的任何原有文字或图表并希望发布你的文档,那么你也得保证让所有得到你的文档的人同时享有你曾经享有过的权利。<br />JFFS2代码情景分析(Beta2)<br />作者在www.linuxforum.net上的ID为shrek2<br />欢迎补充,欢迎批评指正!<br />前言(new) 4<br />第1章 jffs2的数据实体及其内核描述符(improved) 5<br />
代码自我清除 自我加密、解密的实现
dkopg24406的专栏
08-28 242
最近开发壳,但我的壳主要的安全不在题目上写的,所以就公开在delphi中实现代码自我加密解密清除的方法,高手就不用看了,很简单的。 首先我们要定义几个过程, procedure EncryptCode(Badress,size,key:cardinal);//Badress为加密起始地址,size为加密大小,key为加密密钥 var CTemp:cardinal; begin ...
加壳与脱壳知识点(持续更新)
qq_18811919的博客
01-04 1667
加壳与脱壳知识点 1.壳的种类有几种 壳分为压缩壳/加密壳/虚拟壳 (1.1压缩壳) 压缩壳调用压缩引引擎主要目的是对文件进行压缩减小文件大小 (1.2)加密壳 加密壳主要是保护软件止被各种反跟踪技术来调试程序 (1.3)虚拟壳 虚拟技术应用到壳的领域,设计了一套虚拟机引擎,将原始的汇编代码转译成虚拟机指令,要理解原始的汇编代码,就必须对其虚拟机引擎进行研究,而这极大地增加了破解逆向的难度及成本。 2.常见的壳 (2.1)压缩壳 UPX、ASPack、PECompact (2.2)加密壳 ASProte
梆梆加固之内存dump分析
移动安全逆向研究
12-17 4069
梆专业版加固技术分析 之内存 dump 内存 dump比较 笼统 ,本篇 只介绍 使用 inotify相关 实现 (以 BB为例)。
内存Dump原理
个人博客
02-24 1万+
windows中一个可执行性程序被执行后,或者其他的数据文件,只要被影射到了某个进程的地址空间就有机会将它dump出来,这种技术到底有何用,举个例子,比如你有一个软件,并且设置了注册机制,而且用过特殊加密措施,比如用UPX,PECompact加密,但是如果在内存中将其给dump出来,所有的加密的壳都化为乌有,软件的保护也就化为乌有。 加密的文件必须解密后才能进驻内存,代码才能正常执行,所以在代码
Android 反调试反内存dump总结
parker的专栏
05-10 5554
一切都在代码中:https://github.com/parkerpeng/DroidAnti
脱壳之DUMP数据的原理以及反Dump的方法
4SecNet团队专栏
01-08 2082
DUMP数据的原理 常见的Dump的软件有LoadPE、PETools等,这类工具在进行Dump数据的时候采用的主要的方式是利用Moudle32Next来获取将要Dump的进程的基本信息。Moudle32Next的原型如下: BOOL Moudle32Next (HANDLE hSnapshot,LPMODULEENTRY32 lpme) /*参数具体如下: hSnapshot:之前调用的Crea...
尽量不要使用全局变量
wuhuan_001的专栏
03-25 6760
1. 能不用全局变量尽量不用,我想除了系统状态控制参数、通信处理一些需要效率的模块,其他的基本可以靠合理的软件分层编程技巧来解决。 2. 如果不可避免需要用到,那能藏多深就藏多深。 1)如果只有某.c文件用,就static到该文件中,顺便把结构体定义也收进来; 2)如果只有一个函数用,那就static到函数里面去; 3)如果非要开放出去让人读取,那就用函数return
c++ gdb 调试 dumpcore 查看局部变量全局变量
02-28
<think>好的,我现在需要帮助用户了解如何使用GDB调试C++生成的core dump文件,并查看局部变量全局变量。首先,用户之前已经询问过如何在C++中生成core dump而不崩溃,现在他们想进一步分析这个dump文件。 用户可能是在开发或维护一个C++项目,遇到了程序崩溃的问题,生成了core dump,现在需要调试。他们可能对GDB不太熟悉,尤其是如何查看变量。需要详细但清晰的步骤,避免使用过于专业的术语,但又要确保准确性。 首先,我应该确认用户的环境是否已经正确配置生成core dump,比如ulimit设置core_pattern路径,这在之前的回答中已经提到过。不过可能需要简要回顾,但用户这次的问题更多是关于调试而不是生成。 接下来,用户需要知道如何用GDB加载core dump文件。需要说明命令格式,比如gdb <程序路径> <core文件路径>。然后是如何查看堆栈回溯,使用bt或where命令。这可能帮助用户定位崩溃点。 查看变量部分,局部变量全局变量有不同的方法。局部变量通常在堆栈帧中,所以需要选择正确的帧(frame命令),然后使用info locals。而全局变量可以直接用print,但要注意作用域。需要提醒用户编译时必须有调试信息(-g选项),否则变量可能不可见。 另外,用户可能不知道如何检查变量类型或跟踪变量值的变化,这些也是调试中的常见需求。需要给出具体的命令,比如ptypedisplay,以及如何退出。 可能的疑问点包括:如何确定当前帧是否正确,如果变量被优化掉了怎么办,或者core文件没有对应的可执行文件。需要提前考虑这些情况,并在注意事项中说明,比如确保使用带调试符号的可执行文件,以及避免优化选项。 最后,示例部分可以帮助用户更直观地理解步骤。通过一个简单的代码示例,展示生成core dump,并用GDB分析,这样用户可以将理论应用到实际中。 总结步骤应该是:加载core文件,查看堆栈,选择帧,检查局部全局变量,其他调试命令,注意事项。结构清晰,逐步引导用户完成操作,同时提醒常见问题,确保他们能够顺利调试。</think>以下是在 C++ 中使用 GDB 调试核心转储(core dump)并查看局部变量全局变量的完整指南: --- ### 一、调试准备 #### 1. 编译时添加调试符号 ```bash g++ -g -o my_program my_program.cpp # -g 参数保留调试信息 ``` #### 2. 核心转储文件要求 - 确保核心转储文件(如 `core` 或 `core.1234`)与可执行文件版本一致 - 核心转储路径可通过以下命令查看: ```bash cat /proc/sys/kernel/core_pattern ``` --- ### 二、GDB 调试核心转储 #### 1. 启动 GDB ```bash gdb ./my_program core.1234 # 格式:gdb <程序路径> <core文件路径> ``` #### 2. 查看崩溃位置 ```gdb (gdb) bt # 查看堆栈回溯 (backtrace) (gdb) where # 等价于 bt ``` #### 3. 切换堆栈帧 ```gdb (gdb) frame 2 # 切换到第 2 层堆栈帧(通过 bt 显示的编号选择) (gdb) up # 向上切换一层 (gdb) down # 向下切换一层 ``` --- ### 三、查看变量 #### 1. 查看局部变量 ```gdb (gdb) info locals # 显示当前帧所有局部变量 (gdb) p my_var # 打印特定局部变量值 ``` #### 2. 查看全局变量 ```gdb (gdb) p ::global_var # 打印全局变量(需加双冒号) (gdb) p 'namespace::var' # 打印命名空间中的变量 ``` #### 3. 查看变量类型 ```gdb (gdb) ptype my_var # 显示变量类型 (gdb) whatis my_var # 显示变量类型简写 ``` --- ### 四、其他调试命令 | 命令 | 作用 | |-------------------------|-----------------------------| | `list` | 显示当前代码上下文 | | `disassemble` | 查看当前函数的汇编代码 | | `info registers` | 查看寄存器值 | | `x/10xw &my_var` | 以十六进制查看变量的内存数据 | --- ### 五、示例演示 #### 1. 崩溃代码示例 ```cpp #include <iostream> int global = 42; void crash() { int* ptr = nullptr; *ptr = 5; // 触发段错误 } int main() { crash(); return 0; } ``` #### 2. 调试过程 ```bash # 生成 core dump 后 gdb ./my_program core.1234 (gdb) bt # 显示崩溃在 crash() 函数 (gdb) frame 1 # 切换到 crash 函数栈帧 (gdb) info locals # 显示 ptr = 0x0 (gdb) p global # 显示全局变量(gdb) p ptr # 验证空指针 ``` --- ### 六、注意事项 1. **调试符号必须存在**:编译时必须使用 `-g` 选项 2. **优化级别影响**:使用 `-O0` 编译避免优化导致变量不可见 3. **动态链接库**:若程序依赖第三方库,需确保调试时库版本一致 4. **核心转储权限**:检查 `core` 文件是否可读(`chmod +r core.1234`) 通过上述方法,可以精准定位崩溃时的变量状态,帮助快速诊断内存错误、空指针访问等问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值